El SAGRILAFT es una disposición jurídica que las empresas en Colombia deben cumplir e interiorizar en su cultura organizacional para evitar inconvenientes legales y operar de forma transparente.
Debido a la relevancia de este tema para las compañías y sus representantes legales, en este contenido se explora su concepto, origen, importancia y consejos para implementarlo con éxito aplicando la tecnología adecuada, así como las sanciones relacionadas con la falta de cumplimiento.
¿Qué es SAGRILAFT y cuál es su origen?
El acrónimo SAGRILAFT se define como: sistema de autocontrol y gestión de riesgos integrales contra el lavado de activos, financiación del terrorismo y financiamiento de la proliferación de armas de destrucción masiva.
Y, como su nombre lo indica, abarca un conjunto de medidas implementadas para controlar, monitorear y reportar las operaciones con terceros —clientes, proveedores, empleados y asociados— con base en los requeridos por la Superintendencia de Sociedades de Colombia y según lo instruido en la Circular Externa N° 100-00005, Capítulo X, y modificaciones posteriores.
Dichas medidas son comúnmente conocidas como “Régimen de Medidas Mínimas” del SAGRILAFT. Y estas incluyen:
- Identificación razonable de contrapartes con base en información solicitada y fuentes independientes;
- Identificación razonable de la estructura de propiedad de las contrapartes y beneficiarios finales de sus operaciones con terceros;
- Recopilación de información sobre el objeto y naturaleza de sus operaciones con terceros;
- Análisis constante de sus tratos y transacciones comerciales para garantizar la coherencia con las actividades conocidas, el perfil de riesgo y la fuente conocida de fondos de las contrapartes de la Superintendencia;
- Registros y archivos de todo lo anterior;
- Cuando sea necesario, informar a las autoridades nacionales sobre cualquier bien, activo, ganancia, fondo o derecho potencial que posean o administren las entidades o personas de acuerdo con las listas de riesgo nacionales e internacionales.
- Reporte periódico de operaciones inusuales o sospechosas a las autoridades colombianas —se consideran operaciones inusuales o sospechosas cuando su número, cantidad o características no se encuentran dentro de las prácticas normales de negocios de una determinada industria o negocio y/o no se justifican razonablemente—.
¿Cuál es el origen y la importancia del SAGRILAFT?
La implementación del SAGRILAFT obedece a la necesidad de integrar a las compañías, de de una manera mucho más efectiva, dentro de las políticas y sistemas de prevención LA/FT/FPADM (Lavado de Activos, Financiación del Terrorismo, Financiamiento de la Proliferación de Armas de Destrucción Masiva).
Esta última se trata de la pérdida o daño que puede sufrir una empresa al tener operaciones relacionadas, de forma directa o indirecta, con situaciones de lavado de activos y/o el direccionamiento de recursos para la ejecución de actividades terroristas o la financiación de actos que tengan por objetivo proliferar armas de destrucción masiva, o incluso si se busca ocultar activos que provengan de este tipo de actos.
Las situaciones que surgen respecto al sistema LA/FT/FPADM son reflejadas a través de riesgos como, por ejemplo, de contagio, operacional, reputacional, legal, entre otros que puede enfrentar una organización, teniendo una repercusión económica negativa en su estabilidad financiera al momento que se usa para ello durante su actividad.
Por ello, el empleo de un sistema ideal hace que las compañías estén asegurando un pleno funcionamiento ajustado ampliamente a las leyes. De esta forma, será más difícil que las empresas se relacionen con actividades que se encuentran listadas en el sistema de prevención del LA/FT/FPADM.
¿Para qué empresas aplica y cuáles son sus obligaciones?
Según la Circular Externa 100-000016, emitida por la Superintendencia de Sociedades de Colombia, se determina que las compañías que quedan obligadas a adoptar el SAGRILAFT son aquellas que tengan ingresos totales o activos iguales superiores a COP $40.000, con corte al 31 de diciembre del año anterior inmediato.
En este sentido, las organizaciones deberán tener en consideración las señales de alerta que existen en cada sector encontradas en publicaciones internacionales y deben ser analizadas respecto a cada empresa en particular.
En definitiva, para el pleno cumplimiento de este cuerpo normativo y prevenir las sanciones derivadas de no hacerlo para los representantes jurídicos y administradores empresariales, todas las compañías están obligadas a:
- Poseer una política interna relacionada con el SAGRILAFT.
- Contar con una estructura de riego de LA/FT/FPADM.
- Tener registro del entrenamiento prestado al personal de la organización y el cumplimiento del manual.
- Contar con un manual de procedimientos y responsabilidades.
- Realizar las buenas prácticas aplicables para mitigar los riesgos LA/FT/FPADM.
- Designar un puesto llamado: "oficial de cumplimiento", el cual puede ser tanto interno, como tercerizado, y notificar los datos de la persona designada a la autoridad competente.
¿Cuáles son las principales consecuencias de su incumplimiento?
Además de los riesgos a los que se expone toda empresa obligada por no contar con mecanismos de prevención adecuados para gestionar su riesgo de LA/FT/FPADM, al no cumplir con esta obligación normativa, hacerlo fuera de plazo, o de manera incompleta, puede generar una investigación administrativa de la Superintendencia de Sociedades (SS) contra la empresa.
Como resultado de esta investigación, la SS puede imponer multas de hasta 200 salarios mínimos legales mensuales vigentes.
A ciencia cierta, ¿cuáles son los mejores consejos para cumplir el SAGRILAFT?
A continuación, se van a destacar los puntos claves para una correcta implementación del SAGRILAFT por parte de las empresas:
- Diseño y aprobación, teniendo en cuenta la materialidad, características, actividad de las empresas y la identificación de los factores de riesgo LA/FT/FPADM;
- Contar con el oficial de cumplimiento para que haga una auditoría completa y verifique que se cumple lo dispuesto en el SAGRILAFT;
- Divulgar el SAGRILAFT a todas las partes interesadas y empleados de la empresa anualmente;
- Capacitar al personal sobre el SAGRILAFT para que puedan identificar operaciones sospechosas e inusuales y cuáles son los medios para reportarlas con las autoridades competentes de manera oportuna.
Conclusión
Llegado hasta este punto, se puede concluir que el SAGRILAFT es una disposición legal que busca determinar la obligación de tener un verdadero, efectivo y registrable sistema de gestión del riesgo integral, asociado a la actividad económica y particularidad operacional de cada empresa.
En concreto, a cada empresa en particular le corresponde hacer un estudio detallado de sus negocios para establecer medidas o controles que estén adaptadas a lo que exige la norma y así, evitar ser sancionadas.
Para entender este requerimiento y mantener una supervisión especial y rigurosa de los riesgos, es necesario respaldar todas las operaciones de la empresa con tecnologías de calidad, así como reforzar los mecanismos de seguridad informática.
Por ejemplo, la junta directiva de su empresa puede valorar una integración con el compliance de Microsoft 365, a través del portal Microsoft Purview. Esta solución ofrece un Compliance Manager que le permitirá conocer su nivel de cumplimiento, en una escala de 0% a 100%, en la que se evalúan factores como:
- Protección y gobierno de información;
- Control de accesos;
- Manejo de riesgos internos.
También le invitamos a considerar evaluaciones expertas de Ciberseguridad y otros servicios gestionados del área, que pueden agregar valor a sus mecanismos de prevención, protección de base de datos, debida diligencia (due diligence) y cumplimiento.
Si quiere más información sobre tecnologías que fomentan el compliance en los negocios, lo invitamos a explorar nuestros servicios gestionados de Microsoft 365.